Microsoft Sentinel sistem durumu tabloları başvurusu
Bu makalede, Microsoft Sentinel kaynaklarının durumunu izlemek için kullanılan SentinelHealth tablosundaki alanlar açıklanmaktadır. Microsoft Sentinel sistem durumu izleme özelliğiyle, SIEM'inizin düzgün çalışmasını takip edebilir ve ortamınızdaki tüm sistem durumu kaymaları hakkında bilgi edinebilirsiniz.
Ortamınızdaki eylemleri daha ayrıntılı izlemek ve görünürlük sağlamak için sistem durumu tablosunu sorgulamayı ve kullanmayı öğrenin:
Önemli
SentinelHealth veri tablosu şu anda ÖNİzLEME aşamasındadır. Beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları .
Microsoft Sentinel'in sistem durumu izleme özelliği farklı türlerdeki kaynakları kapsar (aşağıdaki ilk tabloda yer alan SentinelResourceType alanındaki kaynak türlerine bakın). Aşağıdaki tablolardaki veri alanlarının çoğu kaynak türleri arasında geçerlidir, ancak bazılarında her tür için belirli uygulamalar vardır. Aşağıdaki açıklamalar bir şekilde veya diğerinde gösterilir.
SentinelHealth tablo sütunları şeması
Aşağıdaki tabloda SentinelHealth veri tablosunda oluşturulan sütunlar ve veriler açıklanmaktadır:
| ColumnName | ColumnType | Açıklama |
|---|---|---|
| Kiracı Kimliği | Dize | Microsoft Sentinel çalışma alanınızın kiracı kimliği. |
| TimeGenerated | Tarih saat | Sistem durumu olayının gerçekleştiği saat (UTC). |
| OperationName | Dize | Sistem durumu işlemi. Olası değerler kaynak türüne bağlıdır. Ayrıntılar için bkz. Farklı kaynak türleri için işlem adları . |
| SentinelResourceId | Dize | Sistem durumu olayının gerçekleştiği kaynağın benzersiz tanımlayıcısı ve ilişkili Microsoft Sentinel çalışma alanı. |
| SentinelResourceName | Dize | Kaynağın adı (bağlayıcı, kural veya playbook). |
| Durum | Dize | İşlemin genel sonucunu gösterir. Olası değerler işlem adına bağlıdır. Ayrıntılar için bkz. Farklı kaynak türleri için işlem adları . |
| Açıklama | Dize | Gerektiğinde genişletilmiş veriler de dahil olmak üzere işlemi açıklar. Hatalar için bu, hata nedeninin ayrıntılarını içerebilir. |
| Nedeni | Sabit listesi | Kaynağın başarısızlığı için temel bir neden veya hata kodu gösterir. Olası değerler kaynak türüne bağlıdır. Açıklama alanında daha ayrıntılı nedenler bulunabilir. |
| WorkspaceId | Dize | Sistem durumu sorununun oluştuğu çalışma alanı GUID'i. Tam Azure Kaynak Tanımlayıcısı SentinelResourceID sütununda kullanılabilir. |
| SentinelResourceType | Dize | İzlenen Microsoft Sentinel kaynak türü. Olası değerler: Data connector, Automation rule, Playbook, Analytics rule |
| SentinelResourceKind | Dize | Kaynak türü içindeki bir kaynak sınıflandırması. - Veri bağlayıcıları için bu, bağlı veri kaynağının türüdür. - Analiz kuralları için bu kural türüdür. |
| Kayıt kimliği | Dize | Gerektiğinde daha iyi bir bağıntı için destek ekibiyle paylaşılabilen kayıt için benzersiz bir tanımlayıcı. |
| ExtendedProperties | Dinamik (json) |
OperationName değerine ve olayın Durumu'na göre değişen bir JSON paketi. Ayrıntılar için bkz . Genişletilmiş özellikler . |
| Tür | Dize | SentinelHealth |
Farklı kaynak türleri için işlem adları
| Kaynak türleri | İşlem adları | Durum |
|---|---|---|
| Veri Toplayıcılar | Veri getirme durumu değişikliği __________________ Veri getirme hatası özeti |
Başarılı Hata _____________ Bilgilendirici |
| Otomasyon kuralları | Otomasyon kuralı çalıştırma | Başarılı Kısmi başarı Hata |
| Playbook'lar | Playbook tetiklendi | Başarılı Hata |
| Analiz kuralları | Zamanlanmış analiz kuralı çalıştırması NRT analiz kuralı çalıştırması |
Başarılı Hata |
Genişletilmiş özellikler
Veri bağlayıcıları
Başarı göstergesi olan olaylar için Data fetch status change , çantada bu kaynaktan verilerin nereye ineceği belirtilecek bir 'DestinationTable' özelliği bulunur. Hatalar için, içerik hata türüne bağlı olarak değişir.
Otomasyon kuralları
| ColumnName | ColumnType | Açıklama |
|---|---|---|
| ActionsTriggeredSuccessfully | Tamsayı | Otomasyon kuralının başarıyla tetiklediği eylem sayısı. |
| IncidentName | Dize | Kuralın tetiklendiği Microsoft Sentinel olayının kaynak kimliği. |
| IncidentNumber | Dize | Portalda gösterildiği gibi Microsoft Sentinel olayının sıralı numarası. |
| TotalActions | Tamsayı | Bu otomasyon kuralında yapılandırılan eylem sayısı. |
| TriggeredOn | Dize |
Alert veya Incident. Kuralın tetiklendiği nesne. |
| TriggeredPlaybook'lar | Dinamik (json) | Bu otomasyon kuralının başarıyla tetiklenen playbook'ların listesi. Listedeki her playbook kaydı aşağıdakileri içerir: - RunId: Logic Apps iş akışının bu tetiklenmesi için çalıştırma kimliği - WorkflowId: Logic Apps iş akışı kaynağının benzersiz tanımlayıcısı (tam ARM kaynak kimliği). |
| Tetiklenen Zaman | Dize |
Created veya Updated. Kuralın bir olay veya uyarının oluşturulması veya güncelleştirilmesi nedeniyle tetiklenip tetiklenmediğini gösterir. |
Playbook'lar
| ColumnName | ColumnType | Açıklama |
|---|---|---|
| IncidentName | Dize | Kuralın tetiklendiği Microsoft Sentinel olayının kaynak kimliği. |
| IncidentNumber | Dize | Portalda gösterildiği gibi Microsoft Sentinel olayının sıralı numarası. |
| RunId | Dize | Logic Apps iş akışının bu tetiklenmesi için çalıştırma kimliği. |
| TriggeredByName | Dinamik (json) | Playbook'u tetikleyen kimlik (kullanıcı veya uygulama) hakkındaki bilgiler. |
| TriggeredOn | Dize |
Incident. Playbook'un tetiklendiği nesne.(Uyarı tetikleyicisini kullanan Playbook'lar yalnızca otomasyon kuralları tarafından çağrıldıklarında günlüğe kaydedilir, bu nedenle bu playbook çalıştırmaları otomasyon kuralı olayları altındaki TriggeredPlaybook'lar genişletilmiş özelliğinde görünür.) |
Analiz kuralları
Analiz kurallarının genişletilmiş özellikleri belirli kural ayarlarını yansıtır.
| ColumnName | ColumnType | Açıklama |
|---|---|---|
| AggregationKind | Dize | Olay gruplandırma ayarı.
AlertPerResult veya SingleAlert. |
| AlertsGeneratedAmount | Tamsayı | Kuralın bu şekilde çalıştırılmasıyla oluşturulan uyarı sayısı. |
| Correlationıd | Dize | GUID biçiminde olay bağıntı kimliği. |
| EntitiesDroppedDueToMappingIssuesAmount | Tamsayı | Eşleme sorunları nedeniyle bırakılan varlık sayısı. |
| EntitiesGeneratedAmount | Tamsayı | Kuralın bu çalıştırması tarafından oluşturulan varlık sayısı. |
| Sorunlar | Dize | |
| QueryEndTimeUTC | Tarih saat | Sorgunun çalışmaya başladığı UTC saati. |
| QueryFrequency | Tarih saat | "Her sorguyu çalıştır" ayarının değeri (SS:MM:SS). |
| QueryPerformanceIndicators | Dize | |
| QueryPeriod | Tarih saat | "Son veriden arama verileri" ayarının değeri (SS:AA:SS). |
| QueryResultAmount | Tamsayı | Sorgu tarafından yakalanan sonuç sayısı. Bu sayı aşağıda tanımlandığı gibi eşiği aşarsa kural bir uyarı oluşturur. |
| QueryStartTimeUTC | Tarih saat | Sorgunun çalışmasını tamamlayan UTC saati. |
| RuleId | Dize | Bu analiz kuralının kural kimliği. |
| SuppressionDuration | Saat | Kural gizleme süresi (SS:DD:SS). |
| SuppressionEnabled | Dize | Kural gizleme etkinleştirildi mi?
True/False. |
| TriggerOperator | Dize | Uyarı oluşturmak için gereken sonuçların eşiğinin işleç bölümü. |
| TriggerThreshold | Tamsayı | Uyarı oluşturmak için gereken sonuç eşiğinin sayı kısmı. |
| TriggerType | Dize | Tetiklenen kuralın türü.
Scheduled veya NrtRun. |
Sonraki adımlar
- Microsoft Sentinel'de denetim ve sistem durumu izleme hakkında bilgi edinin.
- Microsoft Sentinel'de denetim ve sistem durumu izlemeyi açın.
- Otomasyon kurallarınızın ve playbook'larınızın durumunu izleyin.
- Veri bağlayıcılarınızın durumunu izleyin.
- Analiz kurallarınızın sistem durumunu ve bütünlüğünü izleyin.
- SentinelAudit tabloları başvurusu